O ransomware é uma das principais ameaças que as organizações e os indivíduos enfrentam atualmente. De acordo com uma pesquisa recente, 85% das organizações estão mais preocupadas com um ataque de ransomware do que qualquer outra ameaça cibernética. Simplesmente clicando em um link ou baixando um arquivo malicioso, qualquer pessoa pode involuntariamente iniciar um ataque de ransomware. E embora muitas vezes alguém possa se sentir desesperado e querer pagar o resgate ou um acordo de ransomware para recuperar o acesso a dados críticos, é uma decisão que deve ser considerada com muito cuidado.
Assim como quando criança, quando as crianças roubam uma mochila e exigem o dinheiro do almoço para que elas possam devolver a mochila, os cibercriminosos estão fazendo o mesmo com as organizações depois de implantar com sucesso o ransomware e fazer reféns de dados confidenciais criptografando-os. Infelizmente, em muitos casos, fazer mais do que apenas exigir um resgate.
Obviamente, as apostas são maiores para uma organização que é atacada. A sobrevivência de uma organização, muito das vezes pode depender de obter a chave de criptografia dos cibercriminosos para descriptografar e recuperar seus dados roubados.
Você deve pagar os invasores de ransomware?
A questão de saber se você deve pagar o resgate em ambos os casos vem com o medo de não recuperar seus dados ou a chave de criptografia após o pagamento. É difícil acreditar na palavra de agressores ou cibercriminosos. Em vez de devolver suas informações que você provavelmente deseja manter em sigilo, eles podem simplesmente publicar seus dados e todo o seu conteúdo, incluindo dados confidenciais, na Internet para que todos possam acessar e usar.
Ou eles podem fornecer seus dados a outro agressor ou criminoso para fazer o que quiserem com eles. Nesse caso, pagar não resolve seu problema e deixa você consideravelmente mais pobre. Em outras palavras, pagar o resgate pode significar que sua organização não tem “bolsa de livros” nem “dinheiro para o almoço”. E talvez, o pior de tudo, agora você tenha a reputação de ser um alvo fácil e um “pagador” que pode ser facilmente e frequentemente intimidado.
Os problemas que o pagamento de resgate gera
Uma organização não quer ter uma reputação de que pagou no submundo do cibercrime, porque isso pode ser o equivalente a pintar um alvo nas costas.
Embora eu aprecie que algumas organizações podem não ter outra opção a não ser pagar os invasores de ransomware, recomendo não fazê-lo, a menos que você absolutamente deva correr o risco, na qual se sua empresa não pagar, ela irá por água abaixo. Além de se tornar uma vítima repetida, pagar o resgate encoraja os bandidos e financia mais ataques futuros contra você e outras pessoas.
Pagar resgate é ilegal?
As vítimas de ataques de ransomware que se sentem compelidas a pagar aos cibercriminosos muitas vezes se perguntam se é ilegal fazê-lo. Não há lei contra o pagamento de resgate quando os dados e/ou sistemas de uma organização são feitos reféns. No entanto, é fortemente desencorajado pelas autoridades governamentais e por nós no setor de segurança cibernética pagar resgates cibernéticos ou aderir a demandas de extorsão.
O pagamento não garante que os arquivos serão recuperados. Também pode encorajar os adversários a atacar organizações adicionais, incentivar outros atores criminosos a se envolverem na distribuição de ransomware e/ou financiar atividades ilícitas que podem ser potencialmente ilegais.
A Legislação pode ajudar em algo?
Infelizmente, as autoridades legais às vezes têm grandes cargas de trabalho e prioridades, o que significa que seus recursos podem não ser atribuídos da maneira necessária para sua organização. Os objetivos da missão também podem não estar totalmente alinhados em todos os casos em que a fiscalização pode priorizar uma investigação e sua organização pode priorizar o retorno aos processos e tarefas de negócios.
Procurar ajuda após um ataque é um problema-chave e a definição de “reativo”. Você nunca quer chegar ao ponto em que deve pagar o resgate. A maneira de evitar ataques de ransomware é ter uma boa defesa.
Como prevenir ataques de ransomware
As melhores práticas para organizações e indivíduos se protegerem contra ataques de ransomware é incorporar essas ações em sua postura de defesa cibernética:
- Leve o treinamento de segurança cibernética a sério e incentive os funcionários a fazê-lo também
- Evite clicar em links suspeitos e pratique uma boa conscientização cibernética
- Baixe apenas de fontes confiáveis
- Verificar e-mails em busca de malware
- Empregue firewalls e produtos de segurança de endpoint integrados à inteligência de ameaças acionável
- Faça backup de dados importantes
- Use uma VPN quando estiver em Wi-Fi público
- Tenha um plano de resposta a incidentes implementado
O que fazer se você for vítima de um ataque de ransomware
As organizações podem limitar o impacto do ransomware tomando medidas rápidas. Primeiro você deve isolar o ransomware. Isso pode evitar ataques horizontais, em que o ransomware se espalha de um dispositivo para outro por meio de conexões de rede.
Para isolar o ransomware, você deve desligar o sistema infectado. Em seguida, desconecte qualquer coisa que vincule a máquina infectada à rede ou a outros dispositivos na rede. Ao “puxar o plugue” no sistema, você pode impedir a propagação do ransomware. É quando a implementação prévia da segmentação é realmente útil para tornar esse processo muito mais fácil e eficaz.
Em seguida, você precisa descobrir que tipo de malware infectou seu sistema com ransomware. Normalmente não é apenas um ataque de ransomware. Ransomware geralmente é a última parte de um ataque maior. Compreender que tipo de malware está envolvido pode ajudar a equipe de resposta a incidentes de segurança a criar uma solução ou, em alguns casos, usar uma chave de descriptografia que já está disponível para determinado malware.
Recuperação de dados
Para recuperar dados com sucesso, sua organização precisa ter um programa de recuperação de dados configurado antes de um ataque. Se os backups forem agendados várias vezes ao dia, um ataque de ransomware poderá custar apenas algumas horas à sua organização.
Não importa se você usa serviços em nuvem ou hardware local para fazer cópias de seus dados. Você só precisa poder acessar os arquivos de backup de um dispositivo não afetado.
REFERÊNCIAS:
https://www.fortinet.com/blog/industry-trends/paying-ransomware
https://www.fortinet.com/resources/cyberglossary/vpn-wifi?utm_source=blog&utm_campaign=vpn-wifi